4webs

¿Qué cambios va a traer la RGDP en nuestra dinámica de trabajo online?

La anterior Ley de Protección de Datos en eCommerce se actualiza y el próximo mes de mayo entrará en vigor para el sector de ecommerce el nuevo Reglamento General de Protección de Datos (RGPD). En este artículo te contamos todo al respecto y cómo poder cambiar o adaptar nuestra tienda online a las nuevas metodologías de trabajo.

¿Qué es el RGPD?

El Reglamento General de Protección de Datos marca las nuevas reglas a cumplir a todos aquellos que tratan información dentro de la UE, es decir, es un marco común que quiere unificar la protección de datos de todas las personas dentro de la Unión Europea. Los cambios más importantes que habrán otorgan más autogobierno a los ciudadanos con respecto a su información personal y tendrán mayor control de sus datos para poder tomar decisiones antes de facilitárselos a las empresas o profesionales.

La privacidad adquiere una importancia máxima con el RGPD y debe estar presente en cada proceso, cada estrategia y cada herramienta. Cada una de las decisiones que tomamos deben contar con el respeto a la privacidad del usuario por ello, debemos hacernos una serie de preguntas como, ¿estamos respetando el RGPD? ¿nos estamos ajustando a sus exigencias? Se exige mayor transparencia en la gestión de los datos y el refuerzo de los mecanismos para obtener ese consentimiento y aplicar medidas de seguridad acordes al riesgo que supone cada uno de los tratamientos que se realiza.

Puedes leer también en este artículo sobre la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico.

Infografía Adaptación LOPD al nuevo Reglamento Europeo de protección de datos. Crédito de la imagen: Ingertec

El nuevo RGPD propone un cumplimiento mucho más activo y basado en la gestión de riesgos y la implantación de medidas proactivas. Entre los cambios más significativos que deberías conocer y asumir están:

Más compromiso con los datos personales

Si trabajas con información de otros, debes asumir una mayor responsabilidad porque el tratamiento de esa información debe ser protegida y respetar los derechos de cada ciudadano que tiene sobre los mismos. No puedes recabar, procesar o almacenar información de terceros si no asumes un compromiso transparente con los derechos de quienes te proporcionan esa información. Debemos cambiar nuestra mentalidad en lo que respecta al trabajo con datos personales ajenos y adaptar nuestros procesos de trabajo a la protección de datos. Esa información no es nuestra y solo la podemos utilizar bajo los permisos de sus dueños.

Más conocimiento del ciclo de vida del dato

Debemos ser conscientes de todo el ciclo de vida del dato desde que se recaba hasta que se elimina ese lead. Tenemos que tener muy atado cómo adquirimos la información, con quién la compartimos y el fin de procesarla. No podemos olvidar las medidas de seguridad que aplicamos en esta gestión y por supuesto, informar a los legítimos titulares de esos datos. Hay que documentar la base legal para procesar datos personales y mostrar esa base legal en los avisos legales así como en el registro de tratamientos.

Mayor transparencia

El RGPD exige mayor transparencia en la gestión de la información y por ello, deben revisarse y actualizarse todos los avisos legales, cláusulas informativas y mecanismos de captación con los que trabajemos en nuestras campañas. Tienes que facilitar la información al ciudadano, de manera clara, que no lleve al error o malinterpretación y directa.

Los ciudadanos tienen más derechos sobre sus datos

Derechos como el derecho al olvido, el de la portabilidad de datos y el de limitación se otorgan al ciudadano y tendrás que informar y atender a estos nuevos derechos rápidamente porque los plazos de respuesta son cortos. Para las campañas de marketing, hay dos derechos básicos que deberás interiorizar e incorporar a tus procedimientos:

1.- El derecho de acceso de los usuarios

Sobre la información personal de cada usuario, tendrás que informarles sobre qué datos almacenas, cómo los has obtenido, con qué fines los procesas y con quiénes los compartes. Es aquí cuando tendrás que asegurarte de contar con un sistema que te permita buscar y recuperar de forma efectiva los datos procesados de los usuarios y responder a las consultas rápidamente y eficazmente.

2.- El derecho de supresión o cancelación de esa información

Tienes que contar con sistemas que te permitan bloquear o eliminar directamente esos datos para evitar volver a utilizar esa información que ya ha sido cancelada previamente. Hoy en día, la mayoría de las herramientas de email marketing como Mailchimp o Acumbamail cuentan con un enlace que automatizan las bajas de suscriptores.

Página web oficial de la Agencia Española de Protección de Datos

Mayores requisitos de permiso

Tendrás que acreditar que cuentas con el consentimiento expreso de todos los registros que almacenas en tus bases de datos no solo los que vayamos a recoger a partir de mayo del 2018. Si los datos se van a utilizar con fines promocionales, deberemos informar específicamente y de manera separada tal finalidad y requerir el consentimiento concreto. Este es el cambio más transcendental desde un punto de vista del marketing porque tendremos que transformar las estrategias de captación a la hora de recabar datos obteniendo el consentimiento expreso con lo informado y registrarlo para poder posteriormente acreditarlo.

El tratamiento de los datos de menores se vuelve más exigente y habrá que implementar sistemas para verificar la edad de los usuarios y recabar el consentimiento de los padres o tutores cuando procesemos esos datos. Si la información del usuario se ha visto vulnerada, estamos obligados a notificar esa brecha a las autoridades de control y a los afectados por lo que tendremos también que tener mecanismos que permitan detectarlas y notificarlas rápidamente. Debes demostrar por tanto que cumples con el mandado legal y crear políticas comprensibles por cualquier usuario.

¿Cómo afecta el RGPD a mis estrategias de captación?

Todas las estrategias de captación tienen como objetivo conseguir la mayor cantidad de leads posibles para convertir luego en clientes. Para ello se utilizan diferentes herramientas para la captación de datos por lo que, en este sentido, el marketing de captación deberá volverse más estricto a la hora de tratar datos y ofrecer la máxima transparencia y tener cuidado en la contratación de terceros. Informar al usuario de todo lo relativo al tratamiento de la información es la base prioritaria.

Ahora mismo deberías de revisar tu base de datos y limpiarla de cualquier registro que no puedas justificar su conservación o consentimiento para ser tratado. No te olvides de acondicionar los sistemas de captación y reconfirma el consentimiento de aquellos registros que no hayas recabado de forma inequívoca. Por supuesto que deberás tener toda la información cifrada y protegida frente a ataques, brechas o violaciones de seguridad y demuestra las evidencias de todo lo anteriormente mencionado. Guarda registros, contratos o capturas que sirvan para acreditar que cumples con la RGPD.

¿Qué tengo que hacer para adaptar mi tienda online al RGPD?

  • Tener un sistema que elimine todo los datos personales de un usuario porque así lo desea el usuario o porque no podemos usar esa información ya que ha caducado o no cumple la legislación.
  • Debes notificar a los terceros a los que hayas facilitado (de manera legal) los datos de usuarios de que vas a eliminar esos datos mediante una API por ejemplo.
  • Deberías tener la posibilidad de contar con un botón de Restricción en tu panel de administración de tu tienda para que esos datos estén restringidos al personal o a cualquier usuario que tú no quieras que acceda a ellos.
  • Tener otro botón de «Exportar datos» del cual se exportaría un documento con todos los datos que tienes recabados de ese usuario y que éste pueda acceder a ello.
  • Permitir que los usuarios puedan editar sus datos
  • Casillas de consentimiento separadas y bien claras. Ya no bastará con la frase «Acepto los términos y condiciones» y el usuario debe poder hacer click o no libremente en esa casilla. No puede venir ya clickada.
  • Que el usuario pueda saber cómo están siendo procesados sus datos.
  • Tendrás que solicitar la edad del usuario y si éste es menor de 16 años, pedir permiso a los padres o tutores.
  • No mantendrás los datos más allá de lo necesario. No tiene sentido que esos datos los sigas guardando si ya no sirven.
  • Deberás codificar/encriptar los datos como decíamos en el punto anterior.
  • Registra todas las API de los usuarios y no des opción a las APIs de anónimos a acceder a los datos personales de nadie.

En la Addons de Prestashop podemos encontrar módulos específicos para RGPD como éste y que están disponibles para la última versión 1.7.3 y así poder adaptar nuestra tienda online (sin quebraderos de cabeza) a la nueva ley de Protección de Datos que se hará efectiva el 25 de mayo de este año. Prestashop lanzará en breves un módulo RGPD propio gratuito para las versiones 1.7 y de pago para versiones inferiores (1.5 y 1.6).

Los dueños de tiendas online y desarrolladores de módulos, podrán cumplir los requisitos de la nueva reglamentación y en principio, este módulo será compatible para las versiones 1.5, 1.6 y 1.7 como comentábamos. Se podrán gestionar los datos personales de los clientes recopilados mediante Prestashop, módulos nativos y también los desarrollados por la comunidad Prestashop.

  • Para los desarrolladores: el módulo RGPD aportará nuevos hooks para poder agregar una nueva casilla de verificación y un texto específico para el front-office del módulo si fuese necesario. También un nuevo hook para seleccionar y desplegar la información personal recolectada por el módulo.
  • Para el dueño del negocio online: con el módulo, será más sencillo y claro el poder dar consentimiento por parte de los clientes mediante una casilla de verificación de confirmación de consentimiento en las distintas fases (creación de cuenta, suscripción a newsletter…). Cabe la posibilidad de personalizar el mensaje de solicitud de consentimiento por cada casilla de verificación y consultar la página CMS. Las solicitudes de los clientes se gestionarán fácilmente a la hora de borrar y modificar los datos personales. Por ejemplo, si el cliente te pide eliminar su cuenta, tú podrás:
  1. Descargar todas sus facturas en un click (si existen).
  2. Eliminar su cuenta y los datos personales.
  3. Si ha realizado algún pedido en tu web en el pasado, se transferirán automáticamente a una cuenta anónima de RGPD para que podamos mantener los resultados exactos de pedidos, informes y responsabilidad mientras eliminamos los datos personales de los clientes.
  4. Se podrá tener un registro del ejercicio de tu derecho de acceso y gestión de las acciones de consentimiento (obtención y eliminación) con respecto a correos electrónicos de marketing (newsletter).
  • Como cliente: el módulo consigue que como clientes, podamos administrar el acceso a nuestros datos personales así como la posibilidad de descargarlos con un archivo csv que incluya todos nuestros datos personales recopilados en el sitio web desde nuestra cuenta de cliente. El cliente será contactado a través del formulario de contacto para borrar o modificar los datos personales si así lo desea.